你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Microsoft Sentinel 中使用搜寻实时流检测威胁

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用搜寻实时流创建交互式会话，以便在事件发生时测试新创建的查询、在找到匹配项时从会话中获取通知，并在必要时启动调查。 可使用任何 Log Analytics 查询快速创建实时流会话。

• 在事件发生时测试新创建的查询

  可测试和调整查询，而不与正在主动应用于事件的当前规则出现任何冲突。 确认这些新查询按预期工作后，可选择一个选项来将会话提升为警报，轻松地将这些查询提升到自定义警报规则。

• 出现威胁时接收通知

  可将威胁数据馈送与聚合日志数据进行比较，并在出现匹配项时接收通知。 威胁数据馈送是正在进行的与潜在威胁或当前威胁相关的数据流，因此通知可能表示你的组织存在潜在威胁。 创建实时流会话，而不是自定义警报规则，以便就潜在的问题收到通知，而没有维护自定义警报规则的开销。

• 启动调查

  如果有待处理的调查涉及到主机或用户等资产，在该资产上发生特定（或任何）活动时，在日志数据中查看此活动。 在活动发生时接收通知。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

创建实时流会话

可从现有搜寻查询创建实时流会话，也可从头开始创建会话。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“威胁管理”>“搜寻”。

2. 若要从搜寻查询中创建实时流会话：

   1. 从“查询”选项卡中，找到要使用的搜寻查询。
   2. 右键单击该查询，然后选择“添加到实时流”。 例如：

   

3. 若要从头开始创建实时流会话：

   1. 选择“实时流”选项卡。
   2. 选择“+ 新建实时流”。

4. 在“实时流”窗格中：

   • 如果从查询中启动实时流，请查看该查询并进行所需的更改。
   • 如果从头开始启动实时流，请创建查询。

   实时流支持在 Azure 数据资源管理器中跨资源查询数据。 详细了解跨资源查询。

5. 从命令栏中选择“播放”。

   命令栏下的状态栏指示实时流会话是正在运行还是已暂停。 在以下示例中，会话正在运行：

   

6. 从命令栏中选择“保存”。

   除非选择“暂停”，否则会话将继续运行，直到你从 Azure 门户注销为止。

查看实时流会话

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“威胁管理”>“搜寻”。

2. 选择“实时流”选项卡。

3. 选择要查看或编辑的实时流会话。 例如：

   

   你选择的实时流会话将打开，供你执行播放、暂停和编辑等操作。

发生新事件时接收通知

针对新事件的实时流通知会使用 Azure 门户通知，因此每次使用 Azure 门户时，都会看到这些通知。 例如：

选择通知，打开“实时流”窗格。

将实时流会话提升为警报

在实时流会话上的命令栏中选择“提升为警报”，将相关实时流会话提升为新的警报：

此操作将打开规则创建向导，其中预填充了与实时流会话关联的查询。

后续步骤

本文介绍了如何在 Microsoft Sentinel 中使用搜寻实时流。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 主动搜寻威胁
• 使用笔记本运行自动搜寻活动